只允许路由流量,阻止VLAN内转发

网络工程 路由 ACL 生命值 戴尔
2021-08-02 13:29:27

在 Dell 和 HP/Aruba 设备的混合网络中,我们希望阻止客户端计算机之间的所有通信,只允许它们与位于不同 VLAN* 上的服务器通信。

有两个核心交换机,Dell S4048-ON(捆绑操作系统),连接了服务器,以及连接到客户端的其他“边缘”交换机。一对边缘交换机通过环路配置连接,以实现高可用性(与此无关)。 网络图

我已经在任何“边缘”交换机(HP 2920 和 2810)中解决了这个问题:

filter source-port named-filter "uplink-only" drop 1-44
filter source-port 1-44 named-filter "uplink-only"

但是,客户端 VLAN (VLAN 3) 在通往核心路由器的上行链路上可用。因此,VLAN 内数据包将出现在其他边缘交换机上。

核心交换机目前没有配置 ACL,只是在 VLAN 1 和 3 之间进行路由。

那么问题是如何为核心交换机实施 ACL 以防止在 VLAN 3 内转发数据包——但允许来自该 VLAN 的路由流量。出于冗余目的,有必要像现在一样在端口之间转发 VLAN1,允许冗余配置的交换机中的链路中断。此外,DHCP 必须对客户端可用,从 VLAN 1 上的另一台服务器,使用“ip helper-address”选项。

对于阻止客户端之间的流量的一般问题的替代解决方案当然是受欢迎的。

*原因是在客户端设备可能并不总是安全配置时提高安全性。

1个回答

由于您的客户端由边缘交换机连接,您需要在核心交换机之前过滤不需要的流量。

具体如何完成取决于您使用的型号/系列。

使用当前型号(2530 左右),您可以将 ACL 应用到 VLAN 以停止 VLAN 间通信。例如,对于 VLAN 3 中的 192.168.3.0/24:

ip access-list extended no3
100 deny ip 192.168.3.0/24 192.168.3.0/24
999 permit any any
exit
vlan 3 ip access-group no3 vlan-in

如果您只需要禁用手动更改的 IP 地址,您可以仅强制使用 DHCP 分配的地址 ( dhcp-snooping ) 或仅允许正确的流量:

ip access-list extended no3
100 deny ip 192.168.3.0/24 192.168.3.0/24
110 permit ip 192.168.3.0/24 any
120 permit ip any 192.168.3.0/24
999 deny any any
exit
vlan 3 ip access-group no3 vlan-in

显然,这仅适用于 IPv4,IPv6 需要自己的 ACL。

filter source-port仅在交换机内工作,因此您需要在核心交换机中使用与您发现的相同的功能。(或者,您可以按照 Ron M. 的评论建议拆分 L2 段。)

[编辑]

2920 和 2810 系列交换机尚不支持 VLAN ACL,因此您需要将它们应用到每个边缘端口:interface <n> access-group no3 in. 通常,您应该在边缘交换机上尽快过滤不需要的流量。

其它你可能感兴趣的问题
上一篇一个网络接口应该只有一个 MAC 地址吗? 下一篇IEEE 802.11 是否允许软合并?